Zagadnienia dotyczące zabezpieczeń i tożsamości i zarządzania dostępem (IAM) dla obciążeń usługi Azure Virtual Desktop
W tym artykule omówiono obszar projektowania zabezpieczeń i zarządzanie dostępem i tożsamościami w obciążeniu usługi Azure Virtual Desktop. Azure Virtual Desktop to usługa zarządzana, która zapewnia płaszczyznę sterowania firmy Microsoft dla infrastruktury pulpitów wirtualnych. Usługa Azure Virtual Desktop używa kontroli dostępu opartej na rolach (RBAC) platformy Azure do kontrolowania tożsamości i zarządzania dostępem. Jako właściciel obciążenia możesz również zastosować inne zasady Zero Trust, które są odpowiednie dla wymagań organizacji. Przykłady obejmują jawną zasadę weryfikacji i zasadę dostępu z najniższymi uprawnieniami .
Ważne
Ten artykuł jest częścią serii obciążeń azure Well-Architected Framework dla usługi Azure Virtual Desktop . Jeśli nie znasz tej serii, zalecamy rozpoczęcie od tematu Co to jest obciążenie usługi Azure Virtual Desktop?.
Korzystanie z kontroli dostępu opartej na rolach
Wpływ: Bezpieczeństwo, Doskonałość operacyjna
Kontrola dostępu oparta na rolach obsługuje rozdzielenie obowiązków dla różnych zespołów i osób, które zarządzają wdrożeniem usługi Azure Virtual Desktop. W ramach projektu strefy docelowej musisz zdecydować, kto przyjmuje różne role. Następnie należy utworzyć grupę zabezpieczeń dla każdej roli, aby uprościć dodawanie i usuwanie użytkowników do ról i z nich.
Usługa Azure Virtual Desktop udostępnia niestandardowe role platformy Azure, które są przeznaczone dla każdego obszaru funkcjonalnego. Aby uzyskać informacje o sposobie konfigurowania tych ról, zobacz Wbudowane role dla usługi Azure Virtual Desktop. Możesz również tworzyć i definiować role niestandardowe platformy Azure w ramach Cloud Adoption Framework wdrożenia platformy Azure. Może być konieczne połączenie ról RBAC specyficznych dla usługi Azure Virtual Desktop z innymi rolami RBAC platformy Azure. To podejście zapewnia pełny zestaw uprawnień potrzebnych użytkownikom usługi Azure Virtual Desktop i innych usług platformy Azure, takich jak maszyny wirtualne i sieci.
Zalecenia
- Definiowanie ról dla zespołów i osób, które zarządzają wdrożeniami usługi Azure Virtual Desktop.
- Zdefiniuj wbudowane role platformy Azure, aby oddzielić obowiązki związane z zarządzaniem pulami hostów, grupami aplikacji i obszarami roboczymi.
- Utwórz grupę zabezpieczeń dla każdej roli.
Zwiększanie bezpieczeństwa hostów sesji
Wpływ: Zabezpieczenia
Usługa Azure Virtual Desktop używa protokołu RDP (Remote Desktop Protocol) do komunikacji między serwerem terminalu lub hostami sesji oraz klientem użytkownika końcowego.
RDP to protokół wielokanałowy, który może zezwalać na oddzielne kanały wirtualne, które zawierają następujące informacje:
- Dane prezentacji
- Komunikacja szeregowa urządzeń
- Informacje dotyczące licencjonowania
- Wysoce zaszyfrowane dane, takie jak działanie klawiatury i myszy
Aby zwiększyć bezpieczeństwo, możesz skonfigurować właściwości protokołu RDP połączenia centralnie w usłudze Azure Virtual Desktop.
Zalecenia
- Ogranicz dostęp do Eksploratora Windows, ukrywając mapowania dysków lokalnych i zdalnych. Ta strategia uniemożliwia użytkownikom odnajdywanie poufnych informacji o konfiguracjach systemu i użytkownikach.
- Zapobiegaj uruchamianiu niechcianego oprogramowania na hostach sesji. Funkcję AppLocker można włączyć w celu zapewnienia dodatkowych zabezpieczeń na hostach sesji. Ta funkcja pomaga zagwarantować, że tylko określone aplikacje mogą być uruchamiane na hoście.
- Użyj ochrony przechwytywania ekranu i znaku wodnego, aby zapobiec przechwytywaniu poufnych informacji w punktach końcowych klienta. Po włączeniu ochrony przechwytywania ekranu zawartość zdalna jest automatycznie blokowana lub ukryta na zrzutach ekranu i udostępnianiu ekranu. Klient pulpitu zdalnego ukrywa również zawartość przed złośliwym oprogramowaniem, które przechwytuje ekran.
- Użyj programu antywirusowego Microsoft Defender, aby chronić maszyny wirtualne. Aby uzyskać więcej informacji, zobacz Konfigurowanie programu antywirusowego Microsoft Defender w środowisku infrastruktury pulpitu zdalnego lub pulpitu wirtualnego.
- Włącz kontrolę aplikacji Windows Defender. Zdefiniuj zasady dla sterowników i aplikacji, niezależnie od tego, czy ufasz im.
- Wyloguj użytkowników, gdy są nieaktywni, aby zachować zasoby i zapobiec nieautoryzowanemu dostępowi. Aby uzyskać więcej informacji, zobacz Ustanawianie maksymalnego czasu nieaktywnego i zasad rozłączania.
- Włącz Microsoft Defender dla chmury na potrzeby zarządzania stanem zabezpieczeń w chmurze (CSPM). Aby uzyskać więcej informacji, zobacz Dołączanie nietrwale urządzeń infrastruktury pulpitów wirtualnych (VDI) w Microsoft 365 Defender.
Zagadnienia dotyczące projektowania dla centralnych zespołów ds. platformy, tożsamości i sieci
Wpływ: Zabezpieczenia
Tożsamość jest podstawową zasadą projektowania dla usługi Azure Virtual Desktop. Tożsamość to również kluczowy obszar projektowania, który należy traktować jako pierwszoklasowy problem w procesie architektury.
Projekt tożsamości dla usługi Azure Virtual Desktop
Usługa Azure Virtual Desktop obsługuje różne typy tożsamości na potrzeby uzyskiwania dostępu do zasobów i aplikacji firmowych. Jako właściciel obciążenia możesz wybrać spośród różnych typów dostawców tożsamości zgodnie z potrzebami biznesowymi i organizacyjnymi. Przejrzyj obszary projektowania tożsamości w tej sekcji, aby ocenić, co jest najlepsze dla obciążenia.
Projekt tożsamości | Podsumowanie |
---|---|
tożsamość Active Directory Domain Services (AD DS) | Aby uzyskać dostęp do usługi Azure Virtual Desktop, użytkownicy muszą być odnajdywalni za pośrednictwem identyfikatora Microsoft Entra. W związku z tym tożsamości użytkowników, które istnieją tylko w usługach AD DS, nie są obsługiwane. Autonomiczne wdrożenia usługi Active Directory z Active Directory Federation Services (AD FS) również nie są obsługiwane. |
Tożsamość hybrydowa | Usługa Azure Virtual Desktop obsługuje tożsamości hybrydowe za pośrednictwem identyfikatora Microsoft Entra, w tym tożsamości federacyjnych przy użyciu usług AD FS. Możesz zarządzać tymi tożsamościami użytkowników w usługach AD DS i synchronizować je w celu Microsoft Entra identyfikatora przy użyciu programu Microsoft Entra Connect. Możesz również użyć identyfikatora Microsoft Entra do zarządzania tymi tożsamościami i synchronizowania ich z usługami AD DS. |
Tożsamość tylko w chmurze | Usługa Azure Virtual Desktop obsługuje tożsamości tylko w chmurze, gdy używasz maszyn wirtualnych dołączonych przy użyciu identyfikatora Microsoft Entra. Ci użytkownicy są tworzeni i zarządzani bezpośrednio w identyfikatorze Microsoft Entra. |
Ważne
Usługa Azure Virtual Desktop nie obsługuje kont biznesowych, kont Microsoft ani tożsamości zewnętrznych.
Aby uzyskać więcej informacji na temat wybierania i implementowania strategii tożsamości i uwierzytelniania, zobacz Obsługiwane tożsamości i metody uwierzytelniania.
Zalecenia
- Utwórz dedykowane konto użytkownika z najmniejszymi uprawnieniami. Podczas wdrażania hostów sesji użyj tego konta, aby dołączyć hosty sesji do domeny Microsoft Entra Domain Services lub usług AD DS.
- Wymagaj uwierzytelniania wieloskładnikowego. Aby zwiększyć bezpieczeństwo całego wdrożenia, wymusić uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników i administratorów w usłudze Azure Virtual Desktop. Aby dowiedzieć się więcej, zobacz Wymuszanie uwierzytelniania wieloskładnikowego identyfikatora Microsoft Entra dla usługi Azure Virtual Desktop przy użyciu dostępu warunkowego.
- Włącz dostęp warunkowy Microsoft Entra ID. W przypadku korzystania z dostępu warunkowego można zarządzać ryzykiem przed udzieleniem użytkownikom dostępu do środowiska usługi Azure Virtual Desktop. Podczas podejmowania decyzji o tym, którzy użytkownicy mają udzielić dostępu, należy również rozważyć, kim jest każdy użytkownik, jak się logują i z którego urządzenia korzystają.
Bezpieczny projekt sieci dla usługi Azure Virtual Desktop
Bez środków bezpieczeństwa sieci osoby atakujące mogą uzyskać dostęp do Twoich zasobów. Aby chronić zasoby, ważne jest, aby umieścić mechanizmy kontroli w ruchu sieciowym. Odpowiednie mechanizmy kontroli zabezpieczeń sieci mogą pomóc wykrywać i zatrzymywać osoby atakujące, które uzyskują dostęp do wdrożeń w chmurze.
Zalecenia
- Użyj architektury piasty i szprych. Rozróżnianie usług udostępnionych i usług aplikacji usługi Azure Virtual Desktop ma kluczowe znaczenie. Architektura piasty i szprych to dobre podejście do zabezpieczeń. Zasoby specyficzne dla obciążeń należy przechowywać we własnej sieci wirtualnej, która jest oddzielona od usług udostępnionych w centrum. Przykłady usług udostępnionych obejmują usługi zarządzania i systemu nazw domen (DNS).
- Użyj sieciowych grup zabezpieczeń. Sieciowe grupy zabezpieczeń umożliwiają filtrowanie ruchu sieciowego do i z obciążenia usługi Azure Virtual Desktop. Tagi usług i reguły sieciowej grupy zabezpieczeń umożliwiają zezwalanie na dostęp do aplikacji usługi Azure Virtual Desktop lub odmawianie dostępu. Na przykład możesz zezwolić na dostęp do portów aplikacji usługi Azure Virtual Desktop z lokalnych zakresów adresów IP i odmówić dostępu z publicznego Internetu. Aby uzyskać więcej informacji, zobacz Sieciowe grupy zabezpieczeń. Aby wdrożyć usługę Azure Virtual Desktop i udostępnić ją użytkownikom, musisz zezwolić na określone adresy URL, do których maszyny wirtualne hosta sesji mogą uzyskiwać dostęp w dowolnym momencie. Aby uzyskać listę tych adresów URL, zobacz Wymagane adresy URL dla usługi Azure Virtual Desktop.
- Izoluj pule hostów, umieszczając każdą pulę hostów w oddzielnej sieci wirtualnej. Użyj sieciowych grup zabezpieczeń z adresami URL wymaganymi przez usługę Azure Virtual Desktop dla każdej podsieci.
- Wymuszanie zabezpieczeń sieci i aplikacji. Mechanizmy kontroli zabezpieczeń sieci i aplikacji to podstawowe środki zabezpieczeń dla każdego obciążenia usługi Azure Virtual Desktop. Sieć hosta sesji usługi Azure Virtual Desktop i aplikacja wymagają rygorystycznego przeglądu zabezpieczeń i kontroli punktu odniesienia.
- Unikaj bezpośredniego dostępu RDP do hostów sesji w środowisku, wyłączając lub blokując port RDP. Jeśli potrzebujesz bezpośredniego dostępu RDP do celów administracyjnych lub rozwiązywania problemów, użyj usługi Azure Bastion, aby nawiązać połączenie z hostami sesji.
- Użyj Azure Private Link z usługą Azure Virtual Desktop, aby utrzymać ruch w sieci firmy Microsoft i zwiększyć bezpieczeństwo. Podczas tworzenia prywatnego punktu końcowego ruch między siecią wirtualną a usługą pozostaje w sieci firmy Microsoft. Nie musisz już uwidaczniać usługi w publicznym Internecie. Możesz również użyć wirtualnej sieci prywatnej (VPN) lub usługi Azure ExpressRoute, aby użytkownicy z klientem pulpitu zdalnego mogli łączyć się z siecią wirtualną.
- Użyj Azure Firewall, aby chronić usługę Azure Virtual Desktop. Hosty sesji usługi Azure Virtual Desktop są uruchamiane w sieci wirtualnej i podlegają mechanizmom kontroli zabezpieczeń sieci wirtualnej. Jeśli aplikacje lub użytkownicy potrzebują wychodzącego dostępu do Internetu, zalecamy użycie Azure Firewall w celu ochrony ich i zablokowania środowiska.
Szyfrowanie danych przesyłanych
Wpływ: Zabezpieczenia
Szyfrowanie podczas przesyłania ma zastosowanie do stanu danych przenoszonych z jednej lokalizacji do innej. Dane przesyłane można szyfrować na kilka sposobów, w zależności od charakteru połączenia. Aby uzyskać więcej informacji, zobacz Szyfrowanie danych przesyłanych.
Usługa Azure Virtual Desktop używa protokołu Transport Layer Security (TLS) w wersji 1.2 dla wszystkich połączeń inicjowanych z klientów i hostów sesji do składników infrastruktury usługi Azure Virtual Desktop. Usługa Azure Virtual Desktop używa tych samych szyfrów TLS 1.2 co usługa Azure Front Door. Ważne jest, aby upewnić się, że komputery klienckie i hosty sesji mogą używać tych szyfrów. W przypadku transportu odwrotnego połączenia host klienta i sesji nawiąż połączenie z bramą usługi Azure Virtual Desktop. Następnie klient i host sesji ustanawiają połączenie protokołu TCP ( Transmission Control Protocol). Następnie host klienta i sesji zweryfikuje certyfikat bramy usługi Azure Virtual Desktop. Protokół RDP służy do ustanawiania transportu podstawowego. Następnie protokół RDP ustanawia zagnieżdżone połączenie TLS między klientem a hostem sesji przy użyciu certyfikatów hosta sesji.
Aby uzyskać więcej informacji na temat łączności sieciowej, zobacz Omówienie łączności sieciowej usługi Azure Virtual Desktop.
Zalecenia
- Dowiedz się, jak usługa Azure Virtual Desktop szyfruje dane podczas przesyłania.
- Upewnij się, że komputery klienckie i hosty sesji mogą używać szyfrów TLS 1.2 używanych przez usługę Azure Front Door.
Używanie poufnego przetwarzania do szyfrowania danych w użyciu
Wpływ: zabezpieczenia, wydajność
Używanie poufnego przetwarzania w celu ochrony danych używanych w przypadku działalności w regulowanych branżach, takich jak instytucje rządowe, usługi finansowe i instytuty opieki zdrowotnej.
Możesz użyć poufnych maszyn wirtualnych dla usługi Azure Virtual Desktop. Poufne maszyny wirtualne zwiększają prywatność i bezpieczeństwo danych, chroniąc dane w użyciu. Poufne serie maszyn wirtualnych Azure DCasv5 i ECasv5 zapewniają oparte na sprzęcie zaufane środowisko wykonywania (TEE). To środowisko oferuje funkcje zabezpieczeń Advanced Micro Devices (AMD) Secure Encrypted Virtualization-Secure zagnieżdżonych stronicowania (SEV-SNP). Te funkcje wzmacniają zabezpieczenia gościa w celu odmowy funkcji hypervisor i innego kodu zarządzania hostami dostępu do pamięci i stanu maszyny wirtualnej. Pomagają również chronić przed dostępem operatora i szyfrują dane w użyciu.
Poufne maszyny wirtualne zapewniają obsługę wersji 22H1, 22H2 i przyszłych wersji Windows 11. Planowana jest obsługa poufnej maszyny wirtualnej dla Windows 10. Poufne szyfrowanie dysków systemu operacyjnego jest dostępne dla poufnych maszyn wirtualnych. Ponadto monitorowanie integralności jest dostępne podczas aprowizacji puli hostów usługi Azure Virtual Desktop dla poufnych maszyn wirtualnych.
Więcej informacji można znaleźć w następujących zasobach:
Zalecenia
- Używanie poufnego przetwarzania w celu ochrony danych w użyciu.
- Użyj poufnych serii maszyn wirtualnych azure DCasv5 i ECasv5, aby utworzyć sprzętowy model TEE.
Powiązane zasoby zabezpieczeń usługi Azure Virtual Desktop
- Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Virtual Desktop
- Najlepsze rozwiązania dotyczące zabezpieczeń
Następne kroki
Teraz, po zapoznaniu się z najlepszymi rozwiązaniami dotyczącymi zabezpieczania usługi Azure Virtual Desktop, zbadaj procedury zarządzania operacyjnego w celu osiągnięcia doskonałości biznesowej.
Użyj narzędzia do oceny, aby ocenić wybory projektowe.